Befehle für die manuelle Suche
Manuelle Suchbefehle werden in jedem Suchfenster eingegeben. Sie können einen Security Incident oder ein Security Event erstellen. Nach dem Befehl stehen Feldwert-Paare, die zum Erstellen des gewünschten Datensatzes verwendet werden.
Sicherheitsereignis
Der Sicherheitsereignisbefehl snseceventerstellt in ServiceNow ein Ereignis mit der -Sicherheitsklassifizierung.
Diese Ereignisse können einzeln überprüft werden, oder Warnungsregeln in ServiceNow oder manuelle Aktionen können ein Ereignis oder eine Sammlung von Ereignissen in einen Security Incident umwandeln.
| Parametername | Erforderlich | Verwenden | Verwenden Sie in Security Incident |
|---|---|---|---|
| Knoten | Ja | Der Knoten stellt den Server oder das Configuration Item für das Ereignis dar. Im Idealfall wird dieser Knoten einem vorhandenen CI innerhalb von ServiceNowzugeordnet. | Verwenden Sie in Security Incident |
| type | Ja | Die Kategorie des Ereignisses. | Kurzbeschreibung |
| resource | Ja | Das Configuration Item. | Kurzbeschreibung |
| Quelle | Nein | Der Ursprung dieser Daten. Standardmäßig generiert der Splunk-Server die Daten. | Aktivitätsprotokoll |
| external_url | Nein | Die in ServiceNow zu verwendende Drilldown-URL, um zu den Splunk-Daten zu diesem Ereignis zurückzukehren. Standardmäßig enthält diese URL den Ergebnislink für jede Warnung oder einen Link zur standardmäßigen Splunk-Suchseite. | Externe URL, auf die über die Schaltfläche „Drilldown“ im Formular „Security Incident“ zugegriffen wird |
| time_of_event | Nein | Die Zeit, zu der das Ereignis in Splunk protokolliert wurde. | N/V |
| Alle anderen Werte (Kategorie, Unterkategorie im Beispiel) | Nein | Beliebiges Feld, das nicht Teil des Informationsfelds im Ereignis ist. Wenn ein Security Incident erstellt wird, wird er verwendet. | Wenn das Feld vorhanden und nicht ausgefüllt ist, verwendet der Security Incident diesen Wert. Beispielsweise wird die Kategorie, die das Ereignis übergeben hat, zur Kategorie des neuen Security Incident. Wenn ein Feld mit diesem Namen nicht vorhanden ist, wird der Wert in das Aktivitätsprotokoll aufgenommen. |
Security Incident
Der Befehl Security Incident snsecincidenterstellt einen Security Incident in Ihrer Instanz ServiceNow.
| Parameter | Erforderlich | Verwenden |
|---|---|---|
| short_description | Ja | Eine kurze, einzeilige Beschreibung des incident. |
| category | Nein | Die Kategorie des Security Incidents. Wenn diese Kategorie nicht vorhanden ist, wird sie erstellt. |
| Unterkategorie | Nein | Die Unterkategorie. Wenn diese Unterkategorie nicht vorhanden ist, wird sie erstellt. |
| cmdb_ci | Nein | Das Configuration Item für den Security Incident. Idealerweise wird dieses Element einem vorhandenen CI innerhalb von ServiceNowzugeordnet. |
| Beschreibung | Nein | Längere, detaillierte Beschreibung des incident. |
Es gibt viele nützliche Spalten – alles in der Transformationszuordnung für Security Incidents kann verwendet werden. Wenn dem Security Incident neue Spalten hinzugefügt werden, werden sie ebenfalls verwendet, sofern sie sich in der Transformationszuordnung befinden. Einige nützliche Spalten: „location“, „priority“, „assignment_group“, „assigned_to“, „affected_user“, „attach_vector“ und „watch_list“.